BS7799系列講座之一：HTP模型圖及構建

在我們看來，信息像其它重要的商務資產一樣，也是一種資產，對一個組織而言具有價值，因而需要妥善保護。信息安全使信息避免一系列威脅，保障業(yè)務的連續(xù)性，最大限度地減少業(yè)務的損失，最大限度地獲取投資和業(yè)務的回報。

　　BS7799為保障信息的機密性、完整性和可用性提供了典范。BS7799是由英國標準協(xié)會（British Standards Institution,簡稱BSI）制定的信息安全管理體系標準。它包括兩部分，其第一部分《信息安全管理實施規(guī)則》于2000年12月被國際化標準組織（ISO）納入世界標準，編號為ISO/IEC 17799。BS7799廣泛地涵蓋了所有的信息安全議題，如安全方針的制定、安全責任的歸屬、風險的評估、定義與強化安全參數(shù)及訪問控制，甚至包含防病毒的相關策略等。BS-7799已經成為國際公認的信息安全實施標準，適用于各種產業(yè)與組織。

　　近日，我刊主辦了BS7799的系列培訓，內容涵蓋了從具體的安全解決方案如設計和實施信息安全管理規(guī)劃，安全架構搭建，ISO 17799的審核到IT總體規(guī)劃的各個方面。講座受到了廣大行業(yè)和企業(yè)用戶的歡迎。

　　為了更系統(tǒng)、更全面、更準確地將BS7799的知識介紹給更廣大的讀者，從本期開始，我們將配合培訓組織系列講座。該講座將對組織信息安全的需求和ISO/IEC 17799國際標準進行探討，并講解BS7799-2：2002對信息安全管理體系的要求。同時探討信息安全的控制方法和風險評估及信息安全管理體系內部審核的基本概念、審核流程、體系的概念及審核重要進行的主要活動和審核技巧等等。

　　組織為達到保護信息資產的目的，應在“以人為本”的基礎上，充分利用現(xiàn)有的ISO13335、BS7799、CoBIT、ITIL等信息系統(tǒng)管理服務標準與最佳實踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。

　　從宏觀的角度來看，我們認為信息安全可以由HTP模型來描述：人員與管理、技術與產品、流程與體系。

　　在充分理解組織業(yè)務目標、組織文件及信息安全的條件下，通過ISO13335的風險分析的方法，通過建立組織的信息安全基線,可以對組織的安全的現(xiàn)狀有一個清晰的了解，并可以為以后進行安全控制績效分析提供評價基礎。

　　長期以來，由于媒體報道的側重點以及生產商的廣告宣傳等多種因素的影響，國內公眾對安全的認識被廣泛誤導。有相當一部分人認為，黑客和病毒就已經涵蓋了信息安全的一切威脅，似乎信息安全工作就是完全在與黑客與病毒打交道，全面系統(tǒng)的安全解決方案就是部署反病毒軟件、防火墻、入侵檢測系統(tǒng)。這種偏面的看法對一個組織實施有效的信息安全保護帶來了不良影響。

　　目前，各廠商、各標準化組織都基于各自的角度提出了各種信息安全管理的體系標準。這些基于產品、技術與管理層面的標準在某些領域得到了很好的應用，但從組織信息安全的各個角度和整個生命周期來考察，現(xiàn)有的信息安全管理體系與標準是不夠完備的，特別是忽略了組織中最活躍的因素—人的作用。考察國內外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全事件表象后面，其實都是人的因素在起決定作用。不完備的安全體系是不能保證日趨復雜的組織信息系統(tǒng)安全性的。

　　因此，組織為達到保護信息資產的目的，應在“以人為本”的基礎上，充分利用現(xiàn)有的ISO13335、BS7799、CoBIT、ITIL等信息系統(tǒng)管理服務標準與最佳實踐，制定出周密的、系統(tǒng)的、適合組織自身需求的信息安全管理體系。

　　什么是HTP模型

　　信息安全的建設是一個系統(tǒng)工程，它需求對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構架，并要時時兼顧組織內不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構成威脅。在這里可以引用管理學上的木桶原理加以說明。木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。這個原理同樣適用信息安全。

　　一個組織的信息安全水平將由與信息安全有關的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。信息從產生到銷毀的生命周期過程中，包括了產生、收集、加工、交換、存儲、檢索、存檔、銷毀等多個事件，表現(xiàn)形式和載體會發(fā)生各種變化，這些環(huán)節(jié)中的任何一個都可能影響整體信息安全水平。要實現(xiàn)信息安全目標，一個組織必須使構成安全防范體系這只“木桶”的所有木板都要達到一定的長度。從宏觀的角度來看，我們認為信息安全可以用HTP模型（模型圖見下頁）來描述：人員與管理(Human and management)、技術與產品(Technology and products)、流程與體系(Process and Framework)。

　　

　　其中人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。人特別是內部員工既可以是對信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。統(tǒng)計結果表明，在所有的信息安全事故中，只有30%是由于黑客入侵或其他外部原因造成得，70%是由于內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌，就會發(fā)現(xiàn)安全問題實際上都是人的問題，單憑技術是無法實現(xiàn)從“最大威脅”到“最可靠防線”轉變的。以往的各種安全模型，其最大的缺陷是忽略了對人的因素的考慮，在信息安全問題上，要以人為本，人的因素比信息安全技術和產品的因素更重要。與人相關的安全問題涉及面很廣，從國家的角度考慮有法律、法規(guī)、政策問題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓、組織文化、應急計劃和業(yè)務持續(xù)性管理等問題；從個人角度來看有職業(yè)要求、個人隱私、行為學、心理學等問題。

　　在信息安全的技術防范措施上，可以綜合采用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保護信息系統(tǒng)安全，但不應把部署所有安全產品與技術和追求信息安全的零風險為目標。安全成本太高，安全也就失去其意義。組織實現(xiàn)信息安全應采用“適度防范”(Rightsizing)的原則，就是在風險評估的前提下，引入恰當?shù)目刂拼胧?，使組織的風險降到可以接受的水平，保證組織的業(yè)務的連續(xù)性和商業(yè)價值最大化就達到了安全的目的。

　　信息安全不是一個孤立靜止的概念，信息安全是一個多層面、多因素的、綜合的、動態(tài)的過程。一方面，如果組織憑借一時的需要，想當然去制定一些控制措施和引入某些技術產品，難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現(xiàn)若干“短木塊”，從而無法提高安全水平。 正確的做法是遵循國內外相關信息安全標準與最佳實踐過程，考慮組織對信息安全的各個層面的實際需求，在風險分析的基本上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產的安全性、完整性和可用性；另一方面，這個安全體系統(tǒng)還應當隨著組織環(huán)境的變化、業(yè)務發(fā)展和信息技術提高而不斷改進，不能一勞永逸，一成不變。因此實現(xiàn)信息安全是一個需要完整的體系來保證的持續(xù)過程。

　　根據國內信息安全建設的現(xiàn)狀與特點并結合信息安全國際標準、行業(yè)標準以及通用最佳實踐，并考慮實用性與易用性，提出以下實現(xiàn)信息的方法論及具體步驟。

　　信息安全的方法論：根據自頂向下，逐步求精的原則，根據組織的業(yè)務目標與安全要求，在風險評估的基礎上，先建立并運行信息安全框架，初步達到粗粒度的信息安全；在完整的信息安全框架之上，建立“人力防火墻”與“技術防火墻”,在細粒度上保證信息安全；實施階段性的信息系統(tǒng)審計，在持續(xù)不斷的改進過程中保證信息的安全性、完整性、可用性，從而建立一套完整的信息安全管理體系。

　　

　　建立HTP的步驟

　?。ㄒ唬┰诔浞掷斫饨M織業(yè)務目標、組織文件及信息安全的條件下，通過ISO13335的風險分析的方法，通過建立組織的信息安全基線(Security Baseline),可以對組織的安全的現(xiàn)狀有一個清晰的了解，并可以為以后進行安全控制績效分析提供一個評價基礎。

　　1．理解組織業(yè)務與組織文化

　　充分了解組織業(yè)務是設計安全方案的前提，只有了解組織業(yè)務，才能發(fā)現(xiàn)并分析組織業(yè)務所處的風險環(huán)境，并在此基礎上提出可能的安全保障措施；只有了解組織業(yè)務，才可能定義出合理的安全投資規(guī)模和計劃；只有了解組織業(yè)務，才能制定出合理的安全政策和制度。

　　對組織業(yè)務的了解，包括對其業(yè)務內容、性質、目標及其價值進行分析，在信息安全中，業(yè)務一般是以資產形式表現(xiàn)出來，它包括信息/數(shù)據、軟/硬件、無形資產、人員及其能力等。安全風險管理理論認為，對業(yè)務資產的適度保護對業(yè)務的成功至關重要。要實現(xiàn)對業(yè)務資產的有效保護，必須要對資產有很清晰的了解。

　　對組織文化及員工狀況的了解有助于知道組織中員工的安全意識、心理狀況和行為狀況，為制定合理的安全政策打下基礎。

　　2．評估用戶組織風險環(huán)境

　　ISO/IEC TR 13335-1把風險的定義為特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害的潛在可能性。風險評估是對信息和信息處理設施的威脅、影響和薄弱點及三者發(fā)生的可能性評估，即利用適當?shù)娘L險評估工具、包括定性與定量的方法，確定資產風險等級和優(yōu)先控制順序。

　　

　　

　　通過風險評估，上圖中位于“主要高商業(yè)風險”區(qū)域的風險對組織的安全水平有著顯著的影響，是應主要加以控制的風險；位于“高可能性”和“高影響”區(qū)域的風險要根據組織的接受風險的能力，可適當加以控制；位于“低風險”區(qū)域的風險只要是處于組織可以接受的水平，一般可以忽略。

　　3．準備安全基線分析報告

　　通過對組織業(yè)務特征、組織文化、安全意識、人員狀況及信息風險評估的綜合分析，詳細描述當前組織的信息安全狀況，為進一步制定信息安全投資預算計劃、信息安全投資回報分析、人員組織計劃、建立安全體系、制定安全政策、引入安全控制措施而提供基礎數(shù)據、輔助最高管理層對信息安全管理的計劃與實踐做出正確決策。

本頁關鍵詞：BS7799系列講座之一：HTP模型圖及構建